Сам чтоли переводил ? ;)

Особенно порадовал п 2 ;)

мнда, уж лучшебы оригинал запостил %)

Че заныли, салаги? Не поняли нихрена? Тогда вам в посудомойки. А поняли так помалкивайте.
А Shared Memory та еще хреновина. У нее вообще плоховато с безопасностью...

> 3) Размер таблицы в "nls_ascii.c" некорректно установлен в 128 вместо 256, что может привести к переполнению буфера и разрушению ядра

Это уже на генетическом уровне. :)))

конечно сам :)

оригинал по ссылке, только там не намного радостней ...

А разве эти вызовы, удаленные?

по этому же поводу независмо от меня вышла статья на секлабе http://www.securityLab.ru/52751.html

ВиндовсХР рокстэйбл!

Where: From remote

XP еще глубже сидит http://secunia.com/product/22/

Вопрос про race condition здесь уже обсуждался. Вроде бы договорились этот термин на русский язык не переводить. Посмотрел на http://www.securitylab.ru/52751.html -- новость гораздо лучше переведена.

1) Т.е., к примеру, gpg пароль(passphrase), сохраненный в памяти, _может_ при благоприятных условиях в итоге оказаться в свопе на диске, так?

ну русским не грозит nls_ascii :-) в теории :))

кто с кем договорился ? этот термин присутствует в специальной литературе

получается так

> этот термин присутствует в специальной литературе

В русскоязычной специальной литературе много всякой херни присутствует. Пить переводчикам надо меньше.

Если честно я не совсем понля- вообще-то последняя ветка ядра 2.6.11-rc4, в ее ChangeLog не слова про это,а rc4 пояилось 12 февраля,то есть так давно уже это нашли?

Решето мля

Забл подписать что в rc3 я тоже почему-то исправлений не увидел...

Анонимы на ЛОРе договорились не переводить "Race condition", а оставлять как есть -- придётся слушаться, инеаче опять в top10 ;)

>1) Т.е., к примеру, gpg пароль(passphrase), сохраненный в памяти, _может_ при > благоприятных условиях в итоге оказаться в свопе на диске, так?

А Вы все еще пользуетесь нешифрованным свопом? Тогда мы идем к Вам!

Поиск здесь http://linux.bkbits.net:8080/linux-2.6/ за последние 12 недель ничего не дал. При внимательном чтении оригинальной новости выяснилось откуда ветер дует -- http://www.ubuntulinux.org/support/documentation/usn/usn-82-1 ;)

>1) Права доступа функции "shmctl()" позволяют любому приложению
>разблокировать сегменты памяти принадлежащие какому-либо другому
>приложению, что может привести к выдаче информации через swap

А к swap, надо полагать, у всех есть право чтения? :)
Или при чем тут уязвимость?

>2) "Гонка на выживание" для функции "setsid()" приводит к образованию
>ряда процессов

???
И?

>3) Размер таблицы в "nls_ascii.c" некорректно установлен в 128 вместо
>256, что может привести к переполнению буфера и разрушению ядра

Интересно, к какому переполнению буфера могут привести переполнения таблиц индексации? То, что ахинея может быть на выходе - факт.

В общем, или перевод кривой или бред или одно из двух.

>А Вы все еще пользуетесь нешифрованным свопом? Тогда мы идем к Вам!

Угу. А также анонимусы шифруют поток данных CPU<->RAM ;)

хм... и где тут "несколько удаленных уязвимостей"? я вижу только одну.

Прежде чем ставить ядро нужно патчить openwall-ом и не будете бояться за срыв стека.

ща только ботинки почистим и пропатчим... :-) Каким нафиг openwall'ом??? Это када успели его на 2.6 завести?

Гонки на выживание и разрушения ядер рулят. 

# человек 7 безопасность

8)))

как приятно читать, что в 2.6 ядре фиксят баги. Это значит, что совсем скоро 2.6 станет по настоящему стабильным.

> этот термин присутствует в специальной литературе

Только вот, перевод его звучит по-другому :) В электронике, во всяком случае, оно называется "состязания".

"...
В реальной жизни хищник нападает на жертву, когда она менее защищена. В киберпространстве эта аксиома тоже имеет место. Компьютерные взломщики, как правило, стремяться воспользоваться недостатками в системе защиты программы или процесса при выполнении ими какой-нибудь привилегированной операции. Обычно при этом время взлома планируется таким образом, чтобы повредить программу или процесс после того как они перейдут в привилегированный режим, но до завершения использования привилегированных прав. В большинстве случаев этот временный интервал достаточно ограничен, поэтому взломщикам нужно очень хорошо рассчитать момент нападения, чтобы успеть вовремя скрыться со своей добычей. Недостаток системы защиты, позволяющий злоумышленнику установить факт наличия такого временного интервала, называется состоянием гонки на выживание (race condition). Если взломщику удается вмешаться в нормальную работу в то время, когда процесс или программа находятся в привилегированном состоянии, то говорят о том, что он "выигрывает гонку" (winning the race)..."

стр 342 "Секреты хакеров. Безопасность сетей - готовые решения" Второе издание, Моска 2001

Хакир! Хакир! Вах, баюс!....
Сцылка на литературу откровенно порадовала... Спасибо сердечное 8)

> стр 342 "Секреты хакеров. Безопасность сетей - готовые решения" Второе издание, Моска 2001

афтор ?

>афтор ?

Джоел Скембрей (Joel Scambray)
Стюарт Мак-клар (Stuart Mcclure)
Джордж Курц (George Kurtz)

Обнаружено несколько удаленных уязвимостей ядер Linux 2.6.x

Опять уязвимости из серии -А мой друг за 5 минут сервер сломал. -Да он хакер!!! -Нет он rnудак!!! Не одна из дыр не реализуема без криворукости админа, а про разрушение ядра круто задвинуто, внушаить.

Любая дырка может быть заюзана только в том случае если админ не соизволил обновить свою систему. а вообще нехорошо ломать.... это не может обрадавать админа. зато вот если поломал ты то радости оч много... но я не в коем случае не приветствую взломы и т.д. более того мне кажеться что те кто этим занимаються не хорошие :)

такие брошурки не стоит читаить.... сам учись этьому искуству

> Джоел Скембрей (Joel Scambray)

> Стюарт Мак-клар (Stuart Mcclure)

> Джордж Курц (George Kurtz)

И чё эти дяди на русском языке книжки пишут?

>В электронике

Мы не в электронике. Так тоже переводят и довольно часто. Ты вроде не тупой, понял о чем речь? По-русски написано? Русскими словами?

Тогда чего докопался? Нечем заняться?

> И чё эти дяди на русском языке книжки пишут?

Перевод с английского канд. техн. наук Н.Н. Куссуль, В.Н. Романова, канд. техн. наук А.Ю. Шелестова

> Перевод с английского канд. техн. наук Н.Н. Куссуль, В.Н. Романова, канд. техн. наук А.Ю. Шелестова

чтд

jadro v topku

dlia serjoznyx veshei ONO OCEN" SYROE!!!!!!!!!

КГ/АМ

злостный